InfoWatch: количество утечек информации в госсекторе продолжает расти

По данным аналитиков, в 2012 году было скомпрометировано более 1,8 млрд.
записей, в том числе финансовые и персональные данные. В СМИ было обнародовано
934 случая утечки конфиденциальных данных, что на 16% превышает показатель
прошлого года, только прямые потери компаний, которые были опубликованы в
открытых источниках, составили более 37,8 млн. долларов.

«Следует отдавать себе отчет в том, что финансовые потери, которые
обнародуют компании вследствие утечки данных – это капля в море от реальных
убытков, которые ежедневно несет бизнес, – комментирует результаты исследования
Татьяна Белей, директор по маркетингу компании InfoWatch. – В последнее время
наблюдается положительная динамика по обнародованию в СМИ информации об утечках
ценной информации, но есть основания полагать, что число «публичных» инцидентов
составляет не более 3-5% от их реального количества, а финансовые убытки
указывает еще меньшее количество компаний. Если учитывать все эти факты, то
десятки миллионов долларов потерь выливаются в совершенно фантастические суммы
– десятки миллиардов».

Аналитики InfoWatch отмечают, что при подсчете совокупных потерь необходимо
учитывать упущенную прибыль в результате случившегося инцидента, затраты на
ликвидацию последствий утечек и судебные разбирательства, компенсационные
выплаты и т.д. Сложно рассчитать и оценить все затраты, которые могут
возникнуть в результате криминальных действий сотрудников, таких как сговоры,
шантаж или мошенничество, а также связанных с хищением и распространением
конфиденциальной информации, например, банковской тайны, коммерческой и
финансовой информации.

Внедрение средств защиты повлияло на соотношение случайных и умышленных
утечек, так как имеющиеся на рынке средства и методы более эффективны в
отношении именно случайных утечек, нежели умышленных. Согласно аналитическому
отчету, процент случайных утечек снижается – в 2012 году доля случайных утечек
составила всего 38%, а доля злонамеренных утечек растет – 46%. Первое место по
типу утечек по-прежнему занимают персональные данные – 89,4% (92,4% в 2011
году). Ликвидные персональные данные интересны широкому кругу злоумышленников,
так как их можно сбыть на черном рынке, поэтому подобные утечки имеют массовый
характер и базы с персональными данными могут быть проданы широкому кругу
покупателей.

При этом коммерческая или государственная тайны обычно утекают «на заказ»
несмотря на то, что эти организации серьезно подходят к защите информации и
стараются соответствовать требованиям законов и стандартов. Если рассматривать
соотношение утечек в разрезе «тип организации», то в 2012 году доля
коммерческих организаций составила 41% и уменьшилась на 5% по сравнению с
прошлым годом, доля образовательных учреждений сократилась практически 
вполовину, составив 16%. Откровенно плохо защищаются государственные
учреждения, где количество инцидентов, связанных с утечкой информации,
составило 29%, показав существенный прирост по сравнению с прошлым годом.

2012 год можно назвать годом утечек в государственных компаниях. Увеличение
доли госструктур в распределении источников утечек по типу организации
примечательно и говорит о недостаточном внимании к проблемам защиты информации
в госсекторе. Вторая причина еще более очевидна – массовое использование
мобильных устройств (смартфоны, ноутбуки, планшеты), к которому службы
информационной безопасности государственных и муниципальных организаций по
всему миру оказались явно не готовы.

«Согласно наблюдениям аналитиков InfoWatch, в минувшем году государственные
компании оказались в «лидерах» по динамике роста утечек конфиденциальной
информации, – говорит Наталья Касперская, глава Группы компаний InfoWatch. –
Эта тенденция свидетельствуют о том, что уровень информационной безопасности в
госсекторе пока недостаточно высок. Защите информации в госструктурах
необходимо уделять повышенное внимание ввиду наличия в данных организациях
информации высокой государственной важности, как то государственная тайна,
секретные стратегические сведения и т.д., а также колоссального объема
обращающихся здесь персональных данных. В особенности это актуально для России,
где в настоящее время наблюдается бурное развитие рынка государственных
электронных услуг».

Ежегодное исследование Аналитического Центра InfoWatch основывается на
собственной базе данных, которая ведется с 2006 года и включает только
инциденты, освещенные в СМИ или других открытых источниках. За все годы
исследования аналитики впервые столкнулись с неоднородностью картины утечек
применительно к различным отраслям. На общем фоне выделяются банки, страховые
компании, телеком-операторы, где доля случайных утечек стабильно снижается.
Данная картина с небольшими оговорками характеризует практически весь
коммерческий сектор. Аналитики связывают это с возрастающей популярностью
средств защиты информации и контроля информационных потоков.

Gartner утверждает, что около трети компаний уже используют DLP-системы.
Эксперты подчеркивают, что восприятие DLP-систем как программного обеспечения,
способного самостоятельно, без усилий со стороны ИБ-служб, бороться с утечками,
в корне не верно. И если со случайными утечками DLP действительно справляется,
то борьба со злонамеренными требует серьезной консалтинговой составляющей в
DLP-проектах на этапе подготовки, внедрения и сопровождения систем, в частности
в ходе расследования случившихся инцидентов.

В ближайшее время следует ожидать изменения восприятия и отношения к DLP как
со стороны вендоров, так и со стороны клиентов. Как следствие – развитие
направления ИБ-консалтинга с последующим повышением культуры информационной
безопасности в компаниях-пользователях систем защиты. В этом случае можно
прогнозировать уже в течение 3-5 лет снижение «типичных» утечек – случайных и
«недорогих» умышленных.

Полный отчет доступен по
ссылке.